Harbor安装流程:https://blog.csdn.net/QianLiStudent/article/details/107224292
Harbor UI界面使用说明文档:https://goharbor.io/docs/2.1.0/working-with-projects/
tip:不同的Harbor版本UI界面可能会有所改变,甚至增加了一些新特性,这里以Harbor 2.1.0为例。
项目:Harbor中镜像仓库的分组管理单位,也被叫做命名空间,主要有创建和删除操作; 参数说明: ①访问级别:公开表示所有人都可访问,私有则只有管理员能访问; ②存储容量:表示项目中保存的镜像的容量总和不能超过该设定值,-1表示不设限; ③镜像代理:配置了镜像代理的项目为代理项目,表示对该项目的操作实际上是对该项目代理的镜像仓库的操作,目前仅支持代理Harbor和Docker Hub仓库; 代理项目的使用: 上图中第一行为从代理项目中拉取镜像的操作,原本指定镜像的格式是:仓库访问点/项目/仓库:tag,但现在中间却多了一个参数,实际上10.30.12.211/proxy表示访问本地仓库中的proxy项目(该项目为代理项目),而由于该项目是远程仓库的代理,所以我们后面的参数指定的就是远程仓库的项目/仓库:tag,这样一来格式就是仓库访问点/代理项目/代理仓库中的项目/仓库:tag。 缓存镜像:去Harbor UI中查看proxy(代理项目)可以看到里面也保存了一份刚才拉取的镜像,当我们再次pull该代理项目中的同一镜像的时候,会直接从我们本地的仓库拉取,节省了带宽。 镜像仓库:查看项目下管理的镜像仓库、删除; 进入某个仓库中可以看到存在若干Artifact(工件,这里指镜像),并且可给这些Artifact做添加标签、删除、复制到其他项目、漏洞扫描等操作; 进入某个Artifact可以看到存在若干tag,并且可以增加、删除tag; 成员:即项目的可访问人员 标签(局部):仅能给当前项目中的镜像使用,用户作为镜像的过滤条件之一; 扫描器:选择 “审查服务” 中管理的扫描器,当执行扫描任务的时候会使用该选择的扫描器进行漏洞扫描; 策略: tag保留策略:根据仓库、数量或时间、tag3个过滤条件过滤出符合条件的tag,并将该tag指向的Artifact(指镜像)保留。而筛选出来的仓库中的Artifact若一个tag也没有被匹配到,则该Artifact将被丢弃。即保留/丢弃是针对Artifact的动作,而过滤条件是针对tag的动作。 参数说明: ①应用到仓库:仓库的筛选条件——**表示匹配项目中的所有仓库,*abc表示匹配以abc作为后缀的仓库名,abc*表示匹配以abc作为前缀的仓库名;可选择匹配或排除,匹配表示筛选出符合条件的仓库,排除表示排除掉符合条件的仓库,即筛选出符合条件的仓库之外的仓库; ②以Artifact的天数或数量为条件:可以选择最近操作的天数或保留数量; ③Tags:tag的筛选条件——**表示匹配匹配出来的仓库中所有的tag,*.0.1表示匹配以.0.1作为后缀的tag,v1*表示匹配以v1作为前缀的tag;可选择匹配或排除,效果同①; 不可变tag策略:根据筛选出来的仓库下的tag,将这些tag标为不可变,则这些不可变tag、tag指向的Artifact(指镜像)、Artifact所在仓库、仓库所在项目均不可被删除或覆盖; 参数说明:参数参考“tag保留策略”。 机器人账户:仅能访问当前项目的账户,默认拥有pull权限,push可选择是否开放。机器人账户有效时间可配置,不配置则使用全局配置的默认时间。机器人账户创建时账户名前会添加robot$前缀,以和系统用户做区分,密码则为给出的token,token在Harbor系统中不做保存。登陆时需以robot$ken(以下图为例)为账号,系统给的token为密码进行登陆,以访问该机器人账户所属的项目下的镜像。主要操作有机器人账户的创建、删除、禁用; webhook:事件触发时的回调处理,主要操作有webhook策略的创建、删除、修改、停用; 参数说明: ①名称:webhook策略名称; ②通知类型:有http和slack,放回的参数格式不同; ③事件类型:可选择监听的事件类型,当该事件触发时会被监听到; ④Endpoint地址:目标仓库地址,若当前项目触发了所监听的事件,则会向该地址的仓库发送请求; ⑤Auth Header:认证信息; ⑥验证远程证书:https所需的证书验证; 日志(局部):记录当前项目及其下的所有镜像仓库、镜像、tag的操作日志; 配置管理:仅限当前项目的配置管理; 参数说明: ①项目仓库:公开即所有人都可访问项目,不空开则为私有,仅管理员能够访问项目; ②部署安全:设置漏洞级别,超过该级别的镜像会被阻止运行; ③漏洞扫描:镜像上传时会做漏洞扫描; ④CVE特设名单:即CVE白名单,默认使用全局配置的CVE白名单,当然也可自行配置当前项目的CVE白名单;
日志(全局):记录整个Harbor中所有项目包括其下的镜像仓库、工件(镜像)、tag的操作记录; 系统管理:负责全局资源的管理和Harbor系统的配置; 用户管理:负责系统用户的创建、删除、重置密码、管理员/用户角色切换(下图的创建参数); 仓库管理:负责远程仓库的创建(指把远端已存在的仓库添加到本地仓库进行管理)、删除、修改,为镜像同步策略提供目标仓库选项(下图为创建参数); 参数说明: ①提供者:仓库类型选项; ②目标为:将被创建的实例名; ③目标URL:仓库所在地址(包括ip+port,如果端口是80可省略); ④访问ID和访问密码:登陆仓库的用户名和密码; 复制管理:负责镜像同步策略的创建、删除、修改、执行(下图为创建仓库); 参数说明: ①名称:策略名称; ②复制模式:Push-based——将本地仓库的镜像同步到目标仓库;Pull-Based——将目标仓库的镜像同步到本地仓库; ③资源过滤器:过滤出所匹配的镜像,并将这些进行进行同步。名称——项目/仓库,从项目开始,可用*通配符;Tag——tag的过滤条件,可用*通配符;标签——镜像上面添加的标签;资源:选择要同步的资源; Tip:对于Push-Based而言,过滤器过滤的是本地资源;对于Pull-Based而言,过滤器过滤的是远程仓库的资源; ④源Registry:选择Pull-Based,则会有该选项,表示从该仓库同步镜像到本地,目标仓库所在地址(ip+port,如果端口是80可忽略); ④目的Registry:选择Push-Based,则会有该选项,表示从本地同步镜像到远程仓库,目标仓库所在地址(ip+port,如果端口是80可忽略); ⑤目的Namespace:项目名称,将会把符合条件的镜像(过滤器筛选出来的即为符合条件,没有过滤器表示全部都符合条件)全部同步到指定项目中; ⑥触发模式:手动、定时、事件触发; ⑦覆盖:覆盖同名镜像; 标签(全局):负责全局标签的创建、删除、修改,用于镜像添加标签以作为一种过滤依据; 项目定额:查看所有项目的存储容量配额及当前占用存储容量(项目中所有镜像占用存储容量总和); 审查服务:负责镜像扫描器的创建、删除、修改、禁用和配置定时的漏洞自动扫描策略; 参数说明: ①名称:镜像扫描器名称; ②地址:镜像扫描器地址(镜像扫描器需要额外进行安装,如:Clair) ③认证模型:扫描器的使用认证; 垃圾清理:配置定时的垃圾自动清理策略; 配置管理:负责Harbor系统的全局配置; 参数说明: ①项目创建:选择允许创建项目的角色(所有人/仅管理员); ②令牌过期时间(分钟):用户登陆有效时间,时间一到则自动登出; ③机器人账户令牌过期时间(天):同上; ④仓库只读:将仓库设置为只读,即无法执行任何写操作; ⑤CVE特设名单(全局):即漏洞白名单,扫描镜像时如扫到CVE白名单中配置的漏洞ID,则该漏洞会被跳过; ⑥开启webhook:开启webhook后所有项目中配置的webhook策略才会生效;
